Inicio Tecnología Los cibercriminales atacan los sistemas basados en Linux con ataques de ransomware...

Los cibercriminales atacan los sistemas basados en Linux con ataques de ransomware y criptosecuestro

El informe de VMware revela que más de la mitad de los usuarios de Cobalt Strike están utilizando la herramienta ilícitamente

Como el sistema operativo de nube más común, Linux es una parte fundamental de la infraestructura digital y se está convirtiendo rápidamente en el tiquete de acceso de los atacantes al  entorno de nubes múltiples. Las contramedidas actuales de malware se centran principalmente en como abordar las amenazas basadas en Windows, lo que deja a muchas implementaciones de nubes públicas y privadas vulnerables a ataques dirigidos a cargas de trabajo basadas en Linux.

VMware, Inc. (NYSE: VMW) publicó un informe sobre las amenazas titulado “Exponer malware en entornos de nubes múltiples basados en Linux”.(1) Entre las principales conclusiones que detallan cómo los cibercriminales utilizan el malware para atacar los sistemas operativos basados en Linux se incluyen:

  • Ransomware está evolucionando para atacar imágenes de host de Linux utilizadas para hacer girar cargas de trabajo en entornos virtualizados;
  • El 89% de los ataques de criptosecuestros utilizan bibliotecas relacionadas con XMRig; y
  • Más de la mitad de los usuarios de Cobalt Strike pueden ser cibercriminales o, al menos, utilizar Cobalt Strike de forma ilícita.

“Los cibercriminales están ampliando drásticamente su alcance y añadiendo malware dirigido a los sistemas operativos basados en Linux a su kit de herramientas de ataque para maximizar su impacto con el menor esfuerzo posible”, afirmó Giovanni Vigna, director senior de inteligencia frente a amenazas de VMware. “En lugar de infectar una terminal y luego navegar hacia un objetivo de mayor valor, los cibercriminales han descubierto que poner en peligro un único servidor puede ofrecer una mayor recompensa y el acceso que buscan. Los atacantes consideran las nubes públicas y privadas como objetivos de gran valor debido al acceso que proporcionan a los servicios de infraestructura críticos y a los datos confidenciales. Lamentablemente, las actuales contramedidas relativas al malware se centran principalmente en como abordar las amenazas basadas en Windows, lo que hace que muchas implementaciones de nubes públicas y privadas sean vulnerables a los ataques contra sistemas operativos basados en Linux”.

A medida que el malware dirigido a sistemas operativos basados en Linux aumenta tanto en volumen como en complejidad en medio de un panorama de amenazas en constante cambio, las organizaciones deben dar mayor prioridad a la detección de amenazas. En este informe, la Unidad de Análisis de Amenazas de VMware (TAU)  analizó las amenazas a los sistemas operativos basados en Linux en los entornos de nubes múltiples: ransomware, criptomineros y herramientas de acceso remoto.

El ransomware apunta a la nube para infligir el máximo daño

Como una de las principales causas de incumplimiento para las organizaciones, un ataque de ransomware exitoso en un entorno de nube puede tener consecuencias devastadoras.(2) Los ataques de ransomware contra las implementaciones en la nube están dirigidos y a menudo se combinan con la filtración de datos, implementando un esquema de extorsión doble que mejora las probabilidades de éxito. Un nuevo desarrollo muestra que el ransomware está evolucionando para atacar imágenes de host Linux utilizadas para hacer girar las cargas de trabajo en entornos virtualizados. Los atacantes buscan ahora los activos más valiosos en entornos de nube para infligir la máxima cantidad de daño al objetivo. Entre los ejemplos se incluyen la familia de ransomware Defray777, que encriptó imágenes de host en servidores ESXi, y la familia de ransomware DarkSide, que paralizó las redes de Colonial Pipeline y causó una escasez de gasolina en todo el país en los Estados Unidos

Los ataques de criptosecuestros usan XMRig para minar Monero

Los cibercriminales que buscan una recompensa monetaria instantánea a menudo atacan a las criptomonedas utilizando uno de dos enfoques. Los cibercriminales incluyen la funcionalidad de robo de carteras en malware o monetizan los ciclos de CPU robados para extraer con éxito criptomonedas en un ataque llamado criptosecuestro. La mayoría de los ataques de criptosecuestros se centran en la minería de la moneda Monero (o XMR) y VMware TAU descubrió que el 89% de los criptomineros utilizaban bibliotecas relacionadas con XMRig. Es por esto que, cuando se identifican las bibliotecas y módulos específicos de XMRig en los binarios de Linux, es probable que se produzca un comportamiento criptominero malicioso. VMware TAU también observó que la evasión de defensa es la técnica más utilizada por los criptomineros. Desafortunadamente, debido a que los ataques de criptosecuestros no interrumpen completamente las operaciones de entornos de nube como el ransomware, son mucho más difíciles de detectar.

Cobalt Strike es la herramienta de acceso remoto preferida por los atacantes

Para obtener el control y persistir en un entorno, los atacantes buscan instalar un implante en un sistema comprometido que les proporcione un control parcial de la máquina. El malware, los webshells y las herramientas de acceso remoto (RATs) pueden ser implantes utilizados por los atacantes en un sistema comprometido para permitir el acceso remoto. Uno de los implantes principales utilizados por los atacantes es Cobalt Strike, una herramienta de prueba de penetración comercial y equipo rojo, y su reciente variante Vermilion Strike basada en Linux. Dado que Cobalt Strike es una amenaza tan ubicua para Windows, la expansión al sistema operativo basado en Linux demuestra el deseo de los atacantes de utilizar herramientas de fácil acceso que se dirigen al mayor número posible de plataformas.

VMware TAU descubrió más de 14,000 servidores activos de Cobalt Strike Team en Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total de ID de clientes de Cobalt Strike descifrados y filtrados es del 56%, lo que significa que más de la mitad de los usuarios de Cobalt Strike pueden ser cibercriminales o, al menos, utilizan Cobalt Strike de forma ilícita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se hayan convertido en herramientas básicas para los cibercriminales representa una amenaza significativa para las compañías.

“Desde que realizamos nuestro análisis, se observó que aún más familias de ransomware gravitan al malware dirigido a sistemas basados en Linux, con el potencial de ataques adicionales que podrían aprovechar las vulnerabilidades Log4j”, dijo Brian Baskin, director de investigación de amenazas de VMware. “Los resultados de este informe se pueden utilizar para comprender mejor la naturaleza de este malware y mitigar la creciente amenaza que tienen el ransomware, el criptominado y las RATS en entornos de nubes múltiples. A medida que los ataques dirigidos a la nube sigan evolucionando, las organizaciones deben adoptar un enfoque de confianza cero para integrar la seguridad en toda su infraestructura y abordar sistemáticamente los vectores de amenazas que conforman su superficie de ataque”.

Descargue el informe completo aquí.

Metodología

La Unidad de Análisis de Amenazas de VMware (TAU) ayuda a proteger a los clientes de ciberataques mediante la innovación y la investigación de primera categoría. TAU está compuesto por analistas de malware, ingenieros de ingeniería inversa, cazadores de amenazas, científicos de datos y analistas de inteligencia de VMware. Para comprender cómo detectar y prevenir ataques que omiten las estrategias de prevención tradicionales centradas en archivos, TAU se centra en técnicas que en su momento eran el dominio de los hackers avanzados y que ahora están avanzando hacia el mercado de ataques de productos básicos. El equipo aprovecha el big data en tiempo real, el procesamiento de transmisión de eventos, el análisis estático, dinámico y de comportamiento y el aprendizaje automático.

TAU aplicó una composición de técnicas estáticas y dinámicas para caracterizar varias familias de malware observadas en sistemas basados en Linux basándose en un conjunto de datos curados de metadatos asociados con binarios de Linux. Todas las muestras de este conjunto de datos son públicas y, por lo tanto, se puede acceder fácilmente a ellas mediante VirusTotal o varios sitios web de las principales distribuciones de Linux. TAU recopiló más de 11,000 muestras benignas de varias distribuciones de Linux, a saber, Ubuntu, Debian, Mint, Fedora, CentOS y Kali. TAU luego recopiló un conjunto de datos de muestras para dos clases de amenazas, a saber, ransomware y criptomineros. Por último, TAU recopiló un conjunto de datos de binarios ELF maliciosos de VirusTotal que se utilizaron como un conjunto de datos maliciosos de prueba. TAU comenzó a recopilar el conjunto de datos en junio de 2021 y concluyó en noviembre de 2021.